איזה חשבון Windows משמש את המערכת כשאף אחד לא מחובר?

אם אתה סקרן ולומד יותר על האופן שבו Windows פועל מתחת למכסה המנוע, אתה עלול למצוא את עצמך תוהה באילו תהליכים פעילים "חשבון" פועלים כאשר אף אחד לא מחובר ל- Windows. עם זאת בחשבון, בפוסט שאלות ותשובות של SuperUser של היום יש תשובות לקורא סקרן.

מושב השאלות והתשובות של היום מגיע אלינו באדיבות SuperUser - חלוקה של Stack Exchange, קיבוץ מונחה קהילה של אתרי שאלות ותשובות.

השאלה

קורא SuperUser Kunal Chopra רוצה לדעת באיזה חשבון משתמשים Windows כאשר אף אחד לא מחובר:

כאשר אף אחד לא מחובר ל- Windows ומסך הכניסה מוצג, באיזה חשבון משתמש התהליכים הנוכחיים פועלים (מנהלי התקן של וידאו וקול, הפעלת כניסה, תוכנת שרת כלשהי, בקרות נגישות וכו ')? זה לא יכול להיות שום משתמש או המשתמש הקודם מכיוון שאף אחד לא מחובר.

מה לגבי תהליכים שהתחיל משתמש אך ממשיכים לפעול לאחר התנתקות (למשל, שרתי HTTP / FTP ותהליכי רשת אחרים)? האם הם עוברים לחשבון SYSTEM? אם תהליך שהופעל על ידי המשתמש יועבר לחשבון SYSTEM, זה מצביע על פגיעות חמורה מאוד. האם תהליך כזה המנוהל על ידי אותו משתמש ממשיך לרוץ תחת חשבון אותו משתמש איכשהו לאחר שהתנתק?

זו הסיבה שפריצת SETHC מאפשרת לך להשתמש ב- CMD כ- SYSTEM?

איזה חשבון משמש Windows כאשר אף אחד לא מחובר?

התשובה

לתורם SuperUser, התורם, יש את התשובה עבורנו:

כאשר אף אחד לא מחובר ל- Windows ומסך הכניסה מוצג, באיזה חשבון משתמש התהליכים הנוכחיים פועלים (מנהלי התקן של וידאו וקול, הפעלת כניסה, תוכנת שרת כלשהי, בקרות נגישות וכו ')?

כמעט כל מנהלי ההתקנים פועלים במצב ליבה; הם אינם זקוקים לחשבון אלא אם כן הם מתחילים מרחב משתמשים תהליכים. הָהֵן מרחב משתמשים נהגים פועלים תחת מערכת.

בקשר למפגש הכניסה, אני בטוח שהוא משתמש גם ב- SYSTEM. אתה יכול לראות logonui.exe באמצעות האקר תהליכים אוֹ סייר תהליכים SysInternals . למעשה, אתה יכול לראות הכל ככה.

באשר לתוכנות שרתים, ראה שירותי Windows בהמשך.

מה לגבי תהליכים שהתחיל משתמש אך ממשיכים לפעול לאחר התנתקות (למשל, שרתי HTTP / FTP ותהליכי רשת אחרים)? האם הם עוברים לחשבון SYSTEM?

יש כאן שלושה סוגים:

1. תהליכי רקע ישנים רגילים: אלה פועלים תחת אותו חשבון כמו מי שהתחיל אותם ואינם פועלים לאחר ההתנתקות. תהליך ההתנתקות הורג את כולם. שרתי HTTP / FTP ותהליכי רשת אחרים אינם פועלים כתהליכי רקע רגילים. הם פועלים כשירותים.
2. תהליכי שירות של Windows: אלה אינם מושקים ישירות, אלא באמצעות ה- מנהל שירות . כברירת מחדל, שירותים פועלים כ- LocalSystem (אשר אומרת איזאנה שווה ל- SYSTEM) ניתן להגדיר חשבונות ייעודיים. כמובן, כמעט אף אחד לא מפריע. הם פשוט מתקינים את XAMPP, WampServer או תוכנה אחרת ונותנים לה לפעול כ- SYSTEM (ללא תיקון לנצח). במערכות חלונות אחרונות, אני חושב ששירותים יכולים להיות בעלי SID משלהם, אך שוב לא ביצעתי מחקר רב בנושא זה עדיין.
3. משימות מתוזמנות: אלה מושקות על ידי שירות מתזמן המשימות ברקע ותמיד לרוץ תחת החשבון שהוגדר במשימה (בדרך כלל מי שיצר את המשימה).

אם תהליך שהופעל על ידי משתמש יועבר לחשבון SYSTEM, זה מצביע על פגיעות חמורה מאוד .

זו לא פגיעות בגלל שאתה חייב להיות בעל הרשאות מנהל להתקנת שירות. בעל הרשאות מנהל כבר מאפשר לך לעשות הכל כמעט.

ראה גם: שׁוֹנִים שאינם פגיעויות אחרות מאותו סוג.

הקפד לקרוא את שאר הדיון המעניין באמצעות קישור השרשור למטה!

---

יש לך מה להוסיף להסבר? נשמע בתגובות. רוצה לקרוא תשובות נוספות ממשתמשי Stack Exchange אחרים המתמצאים בטכנולוגיה? עיין כאן בשרשור הדיון המלא .